Brasília e São Paulo, 02 – Um ataque hacker atingiu a C&M Software, prestadora de serviços que oferece soluções de contas de pagamento instantâneo ao sistema financeiro nacional. A empresa comunicou o ataque à sua infraestrutura tecnológica na noite de terça-feira, 1º, e informou que a ação afetou os sistemas de seis instituições financeiras.
Segundo apurou o Estadão/Broadcast, o ataque teria atingido R$ 800 milhões e já é considerado um dos maiores do setor financeiro brasileiro. O Banco Central confirmou a ação dos hackers, mas não informou os valores envolvidos.
A empresa C&M disse em nota que a ação criminosa incluiu o “uso indevido de credenciais de clientes” e as “medidas previstas nos protocolos de segurança C&M foram integralmente executadas diante do ataque”.
A ação criminosa é investigado pelo Banco Central, Polícia Civil de São Paulo e Polícia Federal. Profissionais do mercado estimam que o prejuízo possa chegar a R$ 1 bilhão.
Os hackers usaram a porta de entrada da C&M e teriam acessado contas reservas de seis instituições. Duas delas foram a BMP e a Credsystem.
Na prática, a C&M interliga instituições financeiras ao Sistema de Pagamentos Brasileiro (SPB), o que envolve também a conexão da infraestrutura do Pix. “O Banco Central determinou à C&M o desligamento do acesso das instituições às infraestruturas por ela operadas”, informou o BC na nota.
O ataque teve como alvo a infraestrutura tecnológica da C&M. Não houve dano ao sistema financeiro ou a contas de clientes, pois a empresa presta serviços de tecnologia para instituições provedoras de contas transacionais que não têm meios de conexão próprios.
Contas reserva
A fintech BMP afirmou, em nota, que foi uma das seis instituições financeiras afetadas pelo ataque. E explicou que o ataque foi nas chamadas contas reserva, mantidas diretamente no Banco Central e utilizadas exclusivamente para liquidação interbancária, sem nenhuma relação com as contas dos clientes ou com os saldos mantidos na instituição. “Reforçamos que nenhum cliente da BMP foi impactado ou teve seus recursos acessados”, disse a fintech.
A instituição disse ainda ter adotado as medidas operacionais e legais cabíveis e conta com recursos para cobrir integralmente o valor impactado, sem prejuízo à operação e aos parceiros comerciais. “A BMP segue operando normalmente, com total segurança, e reforça seu compromisso com a integridade do sistema financeiro, a proteção dos seus clientes e a transparência nas suas comunicações”, diz a nota.
‘Esquema elaborado’
“As informações disponíveis até agora indicam que foi um ataque significativo e provavelmente envolvendo um esquema criminoso elaborado”, diz Paulo Suzart, consultor de compliance e de cibersegurança. “É um alerta severo para bancos, fintechs, empresas de tecnologia, de que segurança digital precisa ser um assunto estratégico, presente nas mesas dos conselhos, nos planos de continuidade de negócios e nas metas de compliance.”
Os valores desviados pelos criminosos foram muito provavelmente destinados a contas de criptoativos, estratégia comum de hackers para evitar o rastreio, de acordo com pessoas do mercado.
Paulo Trindade, gerente de segurança cibernética da ISH Tecnologia, lembra que as transações com ativos virtuais possibilitam o anonimato e a velocidade para movimentar grandes somas de dinheiro. “Fontes sugerem fortemente a possibilidade de que os valores foram movimentados para contas cripto. É um padrão de um grande ataque cibernético como este, focar na questão financeira e, logo em seguida, transformar o valor roubado em criptomoedas”, diz.
Movimentações atípicas
A SmartPay, dona da carteira de autocustódia de criptoativos Truther, detectou movimentações atípicas nas compras de bitcoin e da stablecoin tether (moeda digital pareada ao dólar) nos primeiro minutos da segunda-feira, 30.
De acordo com o CEO da SmatPay, Rocelo Lopes, a empresa elevou os filtros para validação das transações e reteve o dinheiro. Ele acredita que esta foi a primeira detecção do ataque à infraestrutura tecnológica da C&M Software.
A SmartPay devolveu os valores retidos para as instituições envolvidas. Lopes não informa, no entanto, quais são as empresas e nem os valores.
A Truther funciona como um aplicativo que permite a compra de bitcoin e tether com o Pix. A autocustódia significa que o usuário é quem tem as chaves privadas para acessar os ativos digitais. Diferentemente de carteiras custodiadas por terceiros, como exchanges, a custódia própria oferece maior privacidade, mas também coloca a responsabilidade pela proteção nas mãos do usuário.
Estadão Conteúdo
